服务器的重大威胁:XTBL敲诈者木马加密破坏文件

标签:木马

访客:6327  发表于:2016-11-17 10:04:31

11月上旬,国内有不少服务器遭遇一个名为XTBL的敲诈者木马入侵,中招后服务器上的文档、压缩包、图片等文件均遭到加密,后缀名也被修改为XTBL,并被勒索缴纳赎金解密。记者从360反病毒中心处了解到,该敲诈者木马可能是攻击者利用服务器弱口令爆破等方式入侵后直接运行感染的。


服务器的重大威胁:XTBL敲诈者木马加密破坏文件

感染XTBL敲诈者木马后的桌面截图。

360反病毒中心发布的报告显示,XTBL是一款专门针对Windows服务器的敲诈者木马,最早出现于2015年,不过当时只在小范围传播,并未大面积影响国内服务器。但自今年六月起,国内有服务器开始出现XTBL敲诈者感染迹象,而且还出现了多个变种,11月上旬尤其活跃。

根据受害者的服务器登陆日志以及文档最后修改时间调查,服务器感染敲诈者木马之前一段时间曾遭到疑似爆破登陆。黑客入侵服务器后释放敲诈者木马程序,而敲诈者木马在加密文档的同时枚举网络资源,查找工作组和域内所有共享服务器的共享资源,并对其进行加密,以达到二次传播的效果。


服务器的重大威胁:XTBL敲诈者木马加密破坏文件

XTBL敲诈者木马的攻击流程。

XTBL的整个加密过程也分为两条线,一条加密本地文件,一条加密网络资源中的共享文件。当然,XTBL木马在开始加密之前,也会删除电脑中的卷影备份,因此,感染上XTBL敲诈者木马唯有缴赎金或者弃用资料两条路可以选择。

另外,XTBL木马还会很“精明”地辨别文件大小选择加密方式:小文件(0x180000字节以下)就直接开始加密,并重命名;大文件(0x180000字节以下以上)则创建新文件加密旧文件,然后再写入新文件删除旧文件,以此达到简化的目的,行为十分狡猾。

XTBL木马试图加密的文件类型有很多,包括exe,dll,doc,docx,pdf,xls,xlsx,ppt,zip,rar,bz2,7z,dbf,1cd,jpg等绝大多数用户常用的文件类型。被感染的文件后缀名也被修改为“XTBL”,文件名中还附带上黑客的邮箱,用以接收受害者缴纳的赎金。

据360安全专家建议,XTBL敲诈者木马传播的根源在于服务器遭到入侵,而造成服务器被入侵的根源很可能是弱口令被爆破。因此,防止XTBL敲诈者木马入侵服务器,首先应提高自身的安全意识,及时给服务器修补漏洞,并设置高强度登陆密码。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");